kubectl logs查看容器日志报错“ x509: certificate signed by unknown authority”

已于 2023-02-02 15:59:17 修改
阅读量1.9k 收藏
点赞数 3
文章标签: kubernetes linux 容器
于 2023-02-02 15:07:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44207346/article/details/128850644
版权

如下图所示,通过二进制部署K8S后,发现查看容器日志报错,详细如下图所示:
在这里插入图片描述
这个是由于kubelet的启动参数中没有添加相关参数导致的,包含如下两个参数:
rotateCertificates: true
serverTLSBootstrap: true

serverTLSBootstrap用来启用服务器证书引导。系统不再使用自签名的服务证书, kubelet 会调用certificates.k8s.io API 来请求证书。 需要有一个批复人来批准证书签名请求(CSR)。 设置此字段时,RotateKubeletServerCertificate特性必须被启用。
默认值:false
rotateCertificates用来启用客户端证书轮换。kubelet 会调用 certificates.k8s.io API 来请求新的证书。需要有一个批复人批准证书签名请求。
默认值:false

把以上两个参数添加至kubelet-config.yml中,如下图所示:
在这里插入图片描述
在所有的包含kuelet的节点上,都添加以上两个参数
然后重载以及重启kubelet
systemctl daemon-reload
systemctl restart kubelet
但是,重启后依然报错,如下图所示:
在这里插入图片描述
通过查看csr
kubectl get csr,发现有pending的,允许其通过即可:
kubectl certificate approve csr-sxv92
在这里插入图片描述

然后就可以正常查看pods的日志了

花蹦蹦精他哥
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubectl-tmux-logs:一个kubectl插件可以在单独的tmux窗格中显示容器日志
04-30
一个kubectl插件可以在单独的tmux窗格中显示容器日志 安装 将kubectl-tmux-logs添加到您的kubectl插件目录。 有关如何加载插件的更多信息,请参阅。 git clone git@github.com:brosandilabs/kubectl-tmux-logs.git ...
Docker容器日志查看与清理的方法(亲测有效)
09-30
本文将详细介绍如何查看和清理Docker容器日志,以及如何通过配置来限制日志的大小,从而达到“治本”的目的。 首先,当我们遇到Docker容器日志占用大量磁盘空间的问题时,可以通过以下步骤进行排查: 1. **查看...
docker拉镜像报错Error response from daemon: Get “xx“: tls: failed to verify certificate: x509: certificat
空山新雨后,天气晚来秋
03-13 1257
docker拉镜像报错:Error response from daemon: Get "https://harbor.x.com/v2/": tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
go mod tidy 报错x509: certificate signed by unknown authority 最佳实践
kingch_ban的专栏
09-24 3937
出现这中情况一般都是自己安装全新的ubuntu系统,或者在docker中安装ubuntu镜像,跟我一样。之后就可以愉快的使用go mod tidy了。在网上找了很多资料,都没有解决。注意前缀不是https。
kubectl Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed
最新发布
寂夜了无痕的博客
05-16 1046
kubectl Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed
HTTPS双向认证
Starr
02-28 6805
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
k8s报错x509: certificate signed by unknown authority
qq_38454637的博客
07-28 2121
[root@master harbor]# docker loginhttps://hub.bosssoft.com Username: admin Password: Error response from daemon: Gethttps://hub.bosssoft.com/v2/: x509: certificate signed by unknown authority 修改这个可以解决上面的报错 /usr/lib/systemd/system/docker.service ExecStart..
docker内访问https地址,提示x509: certificate signed by unknown authority
dadaddaddad的博客
10-14 4318
docker内访问https地址,提示x509: certificate signed by unknown authority
解决:slate报错 AttributeError: module ‘importlib._bootstrap’ has no attribute ‘SourceFileLoade
12-21
在学习《python数据处理》时遇到了安装slate出错,这个问题不仅在slate、在之前按照pycurl时也出现,一直没有解决,原因差不多,都是这个报错,涉及python setup.py egg_info Check the logs for full command ...
船尾:Ku Kubernetes的多荚和容器日志拖尾-https:github.comwerckerstern的友好分支
02-03
当一个容器包含多个容器时,斯特恩也可以拖尾所有容器,而不必为每个容器手动进行。 只需指定container标志即可限制要显示的容器。 默认情况下,所有容器都被监听。 安装 下载二进制文件 下载 从源代码构建 go get ...
ubuntu Docker 镜像go使用https出现X509: Certificate Signed by Unknown Authority
thehunters的专栏
07-20 1626
问题成因:应用镜像时,如果没有向镜像中添加证书颁发机构(CA, Certificate Authority)发布的证书,您就有可能遭遇这个错误。解决方法1:可以添加ca-certificates证书,可以将CA证书打包到docker镜像,Dockerfile中增加。解决方法2:忽略证书校验,不过有些第三方库没有这个提供的时候只能使用方法1了。
k8s系列之:Unable to connect to the server: x509: certificate signed by unknown authority
zhengzaifeidelushang的博客
03-23 3704
k8s系列之:Unable to connect to the server: x509: certificate signed by unknown authority K8s使用kubeadm reset初始化k8S集群,再使用 kubectl get pods -n kube-system查看Pod出现如下报错: Unable to connect to the server: x509: certificate signed by unknown authority (possibly becau
解决:Unable to connect to the server: x509: certificate signed by unknown authority (possibly because
m0_55691056的博客
04-04 3869
运行kubeadm reset清除配置后,对集群初始化也是成功的。然而当运行 kubectl get nodes 时又报错..原因:执行kubeadm reset命令后没有删除创建的.kube目录,重新创建集群就会出现这个问题!
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1541
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2107
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
k8s apply时报错 x509: cannot validate certificate for xxx because it doesn‘t contain any IP SANs
Kainx
07-08 4659
k8s apply时报错 x509: cannot validate certificate for xxx because it doesn't contain any IP SANs 可能原因及解决方案
k8s问题排查
weixin_36873225的博客
01-04 744
【代码】k8s问题排查。
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 5725
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid。
kubectl logs查看实时日志
06-28
### 回答1: kubectl logs命令可以用来查看Kubernetes集群中容器的实时日志。可以使用以下命令来查看实时日志: ``` kubectl logs -f <pod-name> <container-name> ``` 其中,`<pod-name>`是要查看日志的Pod的名称,`<container-name>`是要查看日志容器的名称。使用`-f`选项可以实时跟踪日志输出。 ### 回答2: Kubectl logs是Kubernetes命令行工具中一个非常有用的命令,它可以帮助开发者查看正在运行的Pod的实时日志。当Pod在运行时,经常需要查看日志来监测应用程序的运行状态,跟踪错误和排除故障。 使用kubectl logs查看实时日志非常简单,只需要在命令行中输入kubectl logs pod-name命令即可。该命令将返回指定Pod的所有容器日志输出。如果Pod中有多个容器,则需要在命令中指定容器的名称。例如,kubectl logs pod-name container-name。 Kubectl logs命令还有其他一些常用的选项: –follow或-f:该选项将会跟随日志输出并不断地更新控制台,直到通过CTRL+C停止命令。 –timestamps或-t:该选项将显示每条日志记录的时间戳。 –tail:该选项将返回日志记录的最后几行(默认值为10)。 以上是kubectl logs查看实时日志的一些常用选项。此外,还可以使用输出到文件和搜索日志等高级选项。 总之,kubectl logs命令是一个强大的工具,可帮助开发者查看正在运行的Pod的实时日志,便于快速查看程序运行状态和解决问题。当出现问题时,使用kubectl logs命令是一种快速和有效的调试方法。 ### 回答3: Kubectl logs是Kubernetes命令行工具(kubectl)提供的一个用于查看运行中容器实时日志的命令。该命令能够帮助开发者和运维人员快速定位和解决出现在应用程序中的问题。 Kubectl logs命令可以帮助用户查看单个容器的实时日志,并且可以按照时间戳显示和筛选输出的日志内容。此外,用户还可以选择要查看日志的不同级别,例如:错误、警告和调试信息。命令的具体用法可查阅官方文档。 在使用Kubectl logs命令时,需要知道想要查看日志容器名称和所在的命名空间。在命令行中输入kubectl logs <pod-name> [<container-name>] -n <namespace> ,<pod-name>是pod的名称,<container-name>是容器的名称(如果只有一个容器,则可以省略该选项),<namespace>是所在的命名空间。 需要注意的是,Kubectl logs命令只能查看正在运行的容器的实时日志,如果容器已停止或不可访问,则无法查看日志。此外,在生产环境中,要谨慎使用Kubectl logs命令,因为它可能会暴露敏感信息,例如应用程序的内部状态、数据库凭据等。为了确保安全,可以使用Kubernetes的内置日志记录系统或第三方日志记录工具来收集和分析容器日志。 总之,Kubectl logs命令是Kubernetes命令行工具中非常有用和重要的一个命令,开发者和运维人员可以借助该命令快速定位和解决应用程序的问题,在保证安全性的前提下,为应用程序的维护和优化提供重要的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值